Keylogger dijangkiti beribu-ribu Laman WordPress

Computer Security News

Pakar Keselamatan Sucuri melaporkan bahawa lebih daripada 5,500 WordPress Laman yang telah dijangkiti dengan sekeping perisian berniat jahat yang boleh log input pengguna.

Jangkitan ini adalah sebahagian daripada kempen April yang dianalisis oleh pakar-pakar Keselamatan. Menurut mereka, laman web yang telah dijangkiti dengan sekeping perisian berniat jahat yang dinamakan cloudflare.solutions. Pada masa itu, malware yang makan cryptominers, dan kini ia adalah menambah keyloggers untuk campuran.

Pada masa ini, cloudflare.solutions malware terdapat di laman web 5,496, dan ia kelihatan seperti jumlah semakin bertambah.

Yang disuntik, skrip penyelesaian [.] Cloudflare ditambah kepada Penungguan untuk Laman WordPress yang menggunakan tema ini function.php, dan domain CloudFlare palsu yang digunakan dalam URL. Kemudian, salah satu URL memuatkan salinan sebuah perpustakaan ReconnectingWebSocket yang sah. Selepas itu, halaman utama domain mendakwa bahawa “pelayan adalah sebahagian daripada sebuah mesin eksperimen Sains yang pembelajaran projek algoritma.”

Untuk mengesan tapak-tapak yang dijangkiti, skrip cors.js yang digunakan tiada beban Yandex.Metrika (Yandex, alternatif kepada Google Analytics).

Di samping itu, pakar-pakar mendapati dua URL cdnjs.cloudflare.com dengan panjang perenambelasan parameter, dengan kedua-dua mereka kepunyaan CloudFlare. Walau bagaimanapun, ini adalah tidak sah dan salah seorang daripada mereka walaupun tidak wujud – ada pautan untuk payloads dihantar dalam bentuk Nombor perenambelasan selepas tanda soal dalam URL.

Skrip bertujuan untuk menyahkod payloads tersebut dan meningkatkan hasil ke dalam laman web, yang mengakibatkan keylogger berniat jahat.

“Skrip ini menambah pengendali dalam setiap bidang input pada laman web untuk menghantar nilai kepada penyerang (wss: //cloudflare[.]solutions:8085/) apabila pengguna meninggalkan bidang itu,” penyelidik Sucuri berkata.

Dalam kes tapak WordPress mempunyai beberapa fungsi e-dagang, keylogger yang membolehkan penyerang yang mencuri butir-butir pembayaran yang melakukan satu bentuk checkout, serta bukti kelayakan log masuk. Di samping itu, keylogger penyelesaian [.] cloudflare boleh disuntik ke halaman log masuk juga.

Disebabkan oleh hakikat bahawa kod berniat jahat yang tersembunyi di dalam fail function.php tema WordPress, mengalih keluar fungsi add_js_scripts dan Klausa add_action yang menyebut add_js_scripts perlu menghalang serangan itu.

“Memandangkan fungsi keylogger perisian berniat jahat ini, anda harus mempertimbangkan semua kata laluan WordPress yang terjejas supaya langkah seterusnya wajib pembersihan menukar kata laluan (sebenarnya adalah amat disyorkan selepas mana-mana tapak hack),” pasukan Sucuri Negeri-Negeri.

Memandangkan hakikat bahawa cloudflare.solutions injects coinhive cryptocurrency pelombong skrip untuk tapak, para admin dinasihatkan untuk menyemak laman web mereka untuk sesetengah jangkitan lain.


Leave a Reply

Your email address will not be published. Required fields are marked *